Zabezpiecz swoją stronę internetową

Przygotowanie i utrzymanie strony internetowej ma duże znaczenie dla Twojej obecności w sieci. Cyberincydenty takie jak kradzież danych klientów mogą mieć poważne konsekwencje dla Twojej działalności lub marki na wielu poziomach:

  • utrata reputacji marki
  • przerwa w świadczeniu usług
  • utrata zaufania klientów
  • kary wynikające z regulacji prawnych i procesy cywilne.

Cyberincydenty w działalności sklepów internetowych, mogą polegać na:

  • kradzieży danych klientów
  • zmianie informacji na platformie sklepu internetowego
  • zablokowaniu strony internetowej
  • spowodowaniu wycieku poufnych informacji handlowych.

Zanim dojdzie do jakiegokolwiek naruszenia bezpieczeństwa, musisz też wiedzieć, jakie informacje szczególnie chronione znajdują się na Twojej stronie. Warto zadać sobie następujące pytania:

  • Jakie informacje mają krytyczne znaczenie dla działalności?
  • Gdzie są przechowywane?
  • Jak szybko można przywrócić je do stanu poprzedniego, jeśli zostaną wykradzione w wyniku ataku?

Warto także przeprowadzić kompletną kontrolę systemów, sporządzić wykaz ich najważniejszych komponentów i monitorować ich wszystkie aspekty. Upewnij się, że nie jesteś jedyną osobą w organizacji, która wie o tej kontroli, pamiętając jednocześnie, że dostępu do wszystkich systemów danych powinno się udzielać wyłącznie na zasadzie wiedzy koniecznej.

Ochrona informacji na Twojej stronie internetowej

Zastanów się, w jaki sposób podstawowe aspekty bezpieczeństwa informacji – poufność, integralność i dostępność – mają zastosowanie do Twojej strony internetowej i usług, i ustal niezbędne wymagania dotyczące poziomu usług. Pamiętaj, że wymagania te mogą różnić się w zależności od tego, jakie inne elementy zamierzasz wprowadzić.

Jeśli chcesz, aby Twój system był bezpieczny, musisz zapewnić ochronę jego następujących komponentów:

  • poufność: pojęcie to oznacza ochronę informacji, takich jak numery kart kredytowych/płatniczych oraz inne dane osobowe, przed ujawnieniem ich osobom nieupoważnionym. Możesz to zrobić poprzez:
    • wprowadzenie odpowiedniego mechanizmu uwierzytelniania (takiego jak rozwiązania polegające na uwierzytelnianiu wieloskładnikowym, wymagające od użytkownika podania co najmniej dwóch sposobów weryfikacji jego tożsamości)
    • korzystanie z szyfrowanych połączeń (HTTPS, protokół bezpieczeństwa SSL) w celu zapewnienia, aby dostęp do informacji szczególnie chronionych miały wyłącznie osoby do tego upoważnione
  • integralność: pojęcie to oznacza zapewnienie dokładności i pewności informacji poprzez zabezpieczenie ich przed wprowadzaniem zmian przez nieupoważnione osoby. Możesz to osiągnąć poprzez:
    • przeprowadzanie codziennych kontroli pod kątem zmienionych plików
    • przeprowadzanie zaplanowanych testów bezpieczeństwa strony internetowej i usług w celu uniknięcia ataków
    • stworzenie systemu zapobiegania włamaniom
  • dostępność: pojęcie to oznacza zapewnienie ciągłości działania strony internetowej, jeśli samodzielnie zajmujesz się jej hostingiem. Możesz to osiągnąć poprzez:
    • wdrożenie systemu awaryjnego zasilania rezerwowego
    • dbanie o konserwację całego sprzętu.

Jak reagować na incydenty związane z bezpieczeństwem

Ważne jest, aby mieć opracowany wcześniej plan działania na wypadek naruszenia bezpieczeństwa. Należy w nim przewidzieć konkretne działania i procedury postępowania po wystąpieniu incydentu związanego z bezpieczeństwem. Procedury te powinny wskazywać:

  • kto ponosi główną odpowiedzialność
  • jak skontaktować się z personelem o krytycznym znaczeniu
  • jakie dane, sieci i usługi powinny być traktowane priorytetowo podczas przywracania do stanu używalności
  • kogo należy powiadomić (właścicieli danych, klientów czy firmy partnerskie) w przypadku narażenia ich danych lub danych mających wpływ na ich sieci.

W przypadku wykrycia naruszenia, podejmij następujące kroki:

  • poinformuj klientów o tym, co się stało – w ten sposób możesz utrzymać ich zaufanie
  • upewnij się, że wszystkie istotne podmioty współpracujące z Twoim sklepem internetowym również zostały poinformowane o incydencie, a także wyznacz stałego pracownika działu IT odpowiedzialnego w przypadku wykrycia problemu związanego z bezpieczeństwem
  • ustal przyczynę naruszenia, dokumentując dowody, które w przyszłości będzie można wykorzystać w sądzie
  • jeśli dojdzie do naruszenia informacji finansowych takich jak dane kart kredytowych, poinformuj o tym dostawcę obsługującego Twoje transakcje finansowe

Warto też opracować strategię powiadamiania o naruszeniu danych, która może być częścią oświadczenia o ochronie prywatności Twojej organizacji. Powinny się w niej znaleźć informacje na temat sposobu powiadomienia klientów o naruszeniu ich danych osobowych oraz czasu, w jakim należy ich powiadomić. Pamiętaj także, że zgodnie z przepisami RODO po uzyskaniu informacji o jakimkolwiek naruszeniu ochrony danych musisz powiadomić organ nadzorczy ochrony danych.

Na szczeblu krajowym działają zespoły reagowania na zagrożenia komputerowe (CERT) – to zespoły ekspertów ds. bezpieczeństwa odpowiedzialne za zarządzanie incydentami związanymi z bezpieczeństwem (w tym zgłaszanie zagrożeń dla bezpieczeństwa i reagowanie na takie zagrożenia). Możesz uzyskać od nich informacje na temat tego, co robić i do kogo zwrócić się o pomoc, jeśli staniesz się obiektem jakiejkolwiek formy cyberataku. Zespoły te publikują również ostrzeżenia o podatnościach i zagrożeniach w danym kraju.

Przestrzeganie przepisów o ochronie danych

W ogólnym rozporządzeniu o ochronie danych określono obowiązki spoczywające na przedsiębiorstwach zbierających i przechowujących dane osobowe oraz zarządzających takimi danymi. Dwa główne cele RODO to przejrzystość i informowanie Europejczyków o tym, w jaki sposób wykorzystywane są ich dane.

Więcej informacji na temat ogólnych przepisów RODO i ich zastosowania do Twojej firmy uzyskasz w rubryce ochrona danych.

Aspekt działalności Twojego sklepu internetowego, na który RODO ma największy wpływ, to oświadczenie o ochronie prywatności (czyli polityka prywatności). Oświadczenie to dostępny publicznie dokument opublikowany przez firmę, w którym wyjaśnia ona, w jaki sposób przetwarza dane osobowe i jak stosuje zasady ochrony danych. Jeśli na Twojej stronie internetowej gromadzone są dane osobowe bezpośrednio od użytkowników, oświadczenie o ochronie prywatności powinno być wyświetlane wraz z rozpoczęciem tego procesu.

Oświadczenie o ochronie prywatności powinno być:

  • zwięzłe, przejrzyste i zrozumiałe
  • łatwo dostępne
  • dostępne nieodpłatnie i udostępniane w odpowiednim czasie.

Dowiedz się, co powinno się znaleźć w oświadczeniu o ochronie prywatności.

W oświadczeniu o ochronie prywatności wyświetlanym w sklepie internetowym powinny znaleźć się następujące informacje:

  • tożsamość i dane kontaktowe firmy, jej wyznaczonego przedstawiciela oraz inspektora ochrony danych en
  • cele, w jakich firma przetwarza dane osobowe użytkowników, oraz podstawy prawne, które ją do tego upoważniają
  • prawnie uzasadniony interes firmy w przetwarzaniu danych osobowych
  • wszyscy odbiorcy danych użytkowników
  • informacja, czy dane osobowe są przekazywane do państwa spoza UE
  • okres zatrzymywania danych
  • prawa użytkowników w odniesieniu do ich przetwarzanych danych, w szczególności prawo do:
    • wycofania zgody na przetwarzanie w dowolnym momencie
    • wniesienia skargi do organu nadzorczego
  • informacja, czy dane osobowe użytkowników są przekazywane na podstawie zobowiązań ustawowych lub umownych
  • informacja, czy istnieje zautomatyzowany system podejmowania decyzji, który obejmuje profilowanie danych (proces, w ramach którego zebrane już dane są analizowane ze względów statystycznych)

W oświadczeniu o ochronie prywatności wyświetlanym w sklepie internetowym powinny znaleźć się następujące informacje:

  • tożsamość i dane kontaktowe firmy, jej wyznaczonego przedstawiciela oraz inspektora ochrony danych
  • cele, w jakich firma przetwarza dane osobowe użytkowników, oraz podstawy prawne, które ją do tego upoważniają
  • prawnie uzasadniony interes firmy w przetwarzaniu danych osobowych
  • wszyscy odbiorcy danych użytkowników
  • informacja, czy dane osobowe są przekazywane do państwa spoza UE
  • okres zatrzymywania danych
  • prawa użytkowników w odniesieniu do ich przetwarzanych danych, a w szczególności:
    • prawo do wycofania zgody na przetwarzanie w dowolnym momencie
    • prawo do wniesienia skargi do organu nadzorczego
  • kategorie danych osobowych uzyskanych przez Twoją firmę
  • informacja, czy istnieje zautomatyzowany system podejmowania decyzji, który obejmuje profilowanie danych.

Oświadczenia o ochronie prywatności muszą mieć formę pisemną i muszą być udostępniane w formie elektronicznej (w stosownych przypadkach), publikowane w określonej sekcji Twojej strony internetowej (na przykład: Polityka prywatności en ) i muszą być dostępne bezpośrednio z każdej strony lub podstrony witryny.

Aby uzyskać bardziej szczegółowe informacje i użyteczne porady dotyczące sporządzenia polityki prywatności, zapoznaj się z tymi praktycznymi wytycznymi en .

Prawo UE

Potrzebujesz pomocy lub porady?

Skontaktuj się z serwisami ds. pomocy

Mają Państwo pytania na temat prowadzenia transgranicznej działalności gospodarczej, na przykład na temat eksportu do innego kraju UE lub rozszerzenia poza swój kraj działalności gospodarczej? W takim przypadku Enterprise Europe Network może udzielić bezpłatnej porady.

Możesz również skorzystać z wyszukiwarka działu pomocy, aby znaleźć odpowiedź na swoje pytanie.

Ostatnio sprawdzono: 24/05/2024
Udostępnij tę stronę